-353 Membres 1370 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

Accès sites internes via VPN

Posée par Max Vht dans Administration

Bonjour,

Travaillant avec un équipement Stormshield dans mon entreprise actuelle, je sollicite votre aide sur un problème où je pêche un peu. 

Pour vous expliquer, nous avons un site web placé dans la DMZ. Celui-ci est accessible depuis internet. Lorsque nous sommes dans le réseau d'entreprise, celui-ci est également fonctionnel. 

Cependant, depuis quelques jours, nous sommes contraints de travailler via le VPN SSL mis en place. Tout fonctionne très bien, hormis le fait que nous ne pouvons pas accéder au site lorsque nous sommes connectés en VPN.  

Il suffirait de se déconnecter du VPN pour l'atteindre vous pourriez me dire, et oui, c'est le cas. Mais le fait de ne pas trouver la solution pour aller sur le site directement via le VPN me dérange.

J'ai regardé au niveau des filtrages, pour que le réseau VPN soit bien autorisé à aller jusqu'au serveur, j'ai testé avec quelques règles plutôt permissives juste pour vérifier, mais je bloque.

Auriez-vous des pistes...

Voir la suite
Non résolue

compte particulier mystormshield

Posée par Michel Merle dans Administration

Bonjour,

 J’ai acheté récemment un SN160 neuf pour sécuriser mon réseau et aussi me permettre de me former sur les produits stormshield (formation prochaine sur CSNA).

Le problème est que pour créer mon compte sur mystormshield, on me demande un numéro siret que je ne peux fournir étant donné que je suis un particulier.

Comment dois-je faire.

D’avance merci pour votre réponse

Cordialement

Résolue

SN210 : VLAN Traversant Configuration

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai configuré un SN210. (licence OK, upgrade 3.10 OK)
Je souhaite configurer de nouvelles interfaces (en dehors de l'interface d'administration) afin de pouvoir côté LAN brancher un switch (Cisco) (port VLAN ou TRUNK ?) et de l'autre (port WAN) brancher un automate (config IP).
J'ai essayé de nombreuses manipulations sans succes.
Si je débranche ce SN210, et branche l'automate directement sur mon LAN aucun probleme.

Cdlt,

Résolue

Routage sous Stormsheild

Posée par Fabrice B. dans Administration

Bonjour à tous,

Je me retourne vers vous car, j'ai un souci que je n'arrive pas à régler.

La configuration dont je dispose se trouve dans l'image en pièce jointe.


- Le tunel IPSec est monté entre le "Lan A" et le "Lan B" qui communiquent bien ensemble.
- Il n'y a pas de tunel VPN entre "Lan B" et la "DMZ"
- Le "Lan A"qui est connecté sur le Stormsheild FW1 communique sans problème avec la "DMZ"
- Par contre, le Lan B n'arrive pas à communiquer avec la "DMZ" !

Voilà, je me doute que pour que le "Lan B" accède à la "DMZ", il faudrait une route sur le Stormsheild FW2 qui lui indique qu'il faut interroger le FW1 pour trouver la "DMZ".

Hors, toutes mes tentatives de configuration ont échoué dans la partie "Réseau->Routage" du FW2:
net dest: 192.168.60.2
interface: In
Passerelle: Je nes sais pas quelle passerelle mettre: la 192.168.61.254 ou l'adresse IP Publique 1

De plus, j'ai l'impression que FW2 n'arrive pas à communique lui-même avec le "Lan A", FW1 et "DMZ" alors que le "Lan...

Voir la suite
Résolue

Configuration BGP pour exporter tous les réseaux directement connectés

Posée par Ludo Daix dans Administration

Bonjour à tous!

Pouvez vous m'indiquer le meilleur moyen pour configurer bird afin d'exporter les réseaux directement connectés à l'appliance (toutes les interfaces réseaux). 

Pour l'instant je fais ça avec un filtre que j'appelle dans la conf du protocol bgp.

Mon fichier de conf fonctionnel est le suivant:

# The direct protocol automatically generates device routes to
# all network interfaces.
protocol direct {
}

# This pseudo-protocol performs synchronization between BIRD's routing
# tables and the kernel.
protocol kernel {
learn; # Learn all alien routes from the kernel
persist; # Don't remove routes on bird shutdown
scan time 20; # Scan kernel routing table every 20 seconds
import all; # Default is import all
export all; # Default is export none
preference 254; # Protect existing routes
}

# This pseudo-protocol watches all interface up/down events.
protocol device {
scan time 10; # Scan interfaces every 10 seconds
}

filter out_BGP { if net ~ [ 10.2.2.0/24 ] then accept; else ...

Voir la suite
Non résolue

Déclaration d'un VLAN au travers de plusieurs switchs

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai déployé plusieurs switchs Cisco (3850 et 2960-X) et interconnecté ces switchs via fibres optiques et ports trunk.
Dans ces trunk, j'ai autorisé une liste de VLAN.
L'un d'entre eux, par exemple VLAN 5, déclaré sur chaque swich comme port Admin, fonctionne parfaitement avec chaque switch; les pc connectés y fonctionne parfaitement sur le port 23 chaque switch. (ou 11 avec gbic RJ45 sur 3850).
Mes PC Admin sont sur un réseau 10.0.10.x/24. (GW : 10.0.10.254) (les IP ne représentent pas la réalité).
 
J'ai ensuite déclaré un nouveau VLAN pour mes utilisateurs, disons VLAN 100, sur chaque switch.
Via SSH :
conf t
vlan 100
name USERS
exit
do wr mem
end
show vlan
... et ce , sur chaque switch.
 
et sur au moins 2 switchs, j'ai testé avec des PC utilisateurs, via le port 1, avec ajout du vlan (switchport access vlan 100), mais la communication ne passe pas.
Mes PC utilisateurs sont sur un réseau 10.0.49.x/24 .(GW : 10.0.49.254)
 
Derrière ces swichs, il ya des serveurs dont les...

Voir la suite
Résolue

Certificat et StormShield

Posée par Jean Korn dans Administration

Bonjour

je souhaiterais acquérir un certificat SSL chez Gandi par exemple pour l'accès mon StormShield (portail captif, interface d'administration).

 

Chez Gandi, on me demande de générer un CSR. 

Dois je le faire sur le Stormshiedl et comment faire ?

Ou je peux le faire à partir de n'importe quelle poste ?

Merci

Résolue

DHCP multiples à faire passer dans VTI Stormshield

Posée par Thomas Authier dans Administration

Bonjour à tous.

J'ai un firewall Stormshield sur un site A et un autre sur un site B.

Actuellement un tunnel VPN IPSec est en place sur les deux Storms.

Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.

Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?

Résolue

Latence openvpn

Posée par Pascal Le Bihan dans Administration

Bonjour à toutes et à tous, 

J'ai activé le service openvpn en TCP sur des stormshield 710 pour permettre à mes collègues de télétravailler. J'observe des latences énormes vers les machines de mon lan

A titre d'exemple j'ai un ping qui tourne vers la pate Lan et un autre vers la pate WAN

je peux monter jusqu'a 375ms sur la pate Lan alors que mon ping WAN est à 40ms environ. Mon ping Wan est un peu pourri car je suis en 4G.

J'ai tenté en IPSec, les latences sur la pate lan sont tres proches des latences WAN

 

Est ce un bug openvpn ? Paramétrage client ? 

J'utilise openvpn en mode TCP , l'accès WAN de mon routeur est une FTTB 100M et mes firewall sont en 3.9.0.

 

Merci pour vos idées et vos conseils

Pascal

Résolue

Vlan et bridge, mais un peu en mode tordu

Posée par Lgrain25 dans Administration

Bonjour à tous.

A une heure tardive ( c'est peut être pas le meilleur moment), en réfléchissant à une infra client ou je configure un vlan  pour isoler mon NAS de sauvegarde et ainsi bénéficier de mon firewall pour le protéger un peu plus, je me suis posé la question:

Imaginons un lan en 192.168.1.0/24 par ex avec des pc et un serveur. Dans mes 10 pc , j'ai par exemple 5 de productions et 5 administratifs.

Je crée un vlan ou je mets mes 5 administratifs et un vlan ou je mets mes 5 productions et un vlan ou je mets mon serveur.

Je ne change pas le plan d'adressage IP des équipements. Sur mon switch je configure 3 ports en untag sur chacun des Vlans sur lequel je viens brancher un cable par vlan sur mes interfaces de mon firewall qui sont toutes dans le même bridge.

Si je gère des règles de flux par segment de réseau , est ce que je peux autoriser/bloquer des flux entre mes vlans.

Je ne vois pas ce qui m'empêcherais de le faire, mais on ne sait jamais ;) Y a quand même...

Voir la suite
Non résolue

VPN SSL Stormshield réservation ip client

Posée par Palma Alexandre dans Administration

Bonjour , 

J'ai configuré les accès vpn ssl sur un firewall stormshield sn 510 , j'ai également configuré un réseau pour les clients. Ma question : est il possible de gérer la diffusion des adresses ip du réseau renseigné dans la config VPN SSL ? Je souhaiterais effectivement fixer / réserver une ip à certains users ( actuellement les ips sont distribuées aléatoirement je ne sais pas comment ). Merci d'avance.

Résolue

Alertes firewall

Posée par Seb Patte dans Administration

Bonjour,

j'ai régulièrement ces alertes sur mon SN510 :

  1. Débordement de la file de données TCP
  2. Mauvais protocole LDAP (syntax error)
  3. Débordement dans une URL
  4. NTP : taille du message supérieure à la valeur autorisée (NTPv3 length)
  5. DNS id spoofing
  6. Protocole DNS invalide (maximum pipelined request reached)

Une idée de ce qu'elles signifient et de leurs degrés d'importance ?

Comment les résoudre ?

Non résolue

2 liens entrants sur SN510

Posée par Seb Patte dans Administration

Bonjour,

aujourd'hui connecté par un lien d'un FAI, j'ai ajouté un second lien à mon Firewall.

ça fonctionne, via une règle mon PC utilise le nouveau lien pour sortir sur internet, le reste de l'entreprise utilise mon premier lien.

Par contre, j'aimerai configurer mon VPN pour utiliser les 2 liens:

chez mon provider j'ai dans mes DNS vpn.xxxx.eu qui a son entrée A sur l'IP du lien 1. En ajoutant vpn.xxxx.eu avec une entrée A sur l'IP du lien 2, je ne vois pas de changements.

En me connectant j'ai l'impression de toujours prendre le lien 1 : je ne vois pas de traffic sur mon lien 2

je teste https://vpn.xxxx.eu/auth ça marche
je teste https://IP_lien1/auth ça marche
je teste https://IP_lien2/auth ça ne fonctionne pas

Une idée ?

Résolue

SN500 Portail VPN Accès sécurisé

Posée par Marie N dans Administration

Bonjour,

J'avais mis en place sur mon SN500 le portail VPN avec accès sécurisé (application et serveurs) : totu fonctionnait correctement et d'un coup (sûrement un mauvais clic) l'onglet Accès sécurisé a disparu. Le portail est toujours accessible mais l'onglet n'apparait plus !

Il est donc imposible d'utiliser l'option ce que bloque l'utilisation de mon portail. Ma demande est plutot critque/urgente.

Merci d'avance.

Marie

SN 500 V 3.7.11

Non résolue

Accès esxi distant via VPN SSL au travers d'un tunnel IPSEC

Posée par Joffrey B dans Administration

Bonjour à tous,

Depuis vendredi je suis face à un problème que je n'arrive pas à résoudre.

J'ai un monté un tunnel IPSEC entre un SN300 et une pfsense en front sur un ESXI. Ce tunnel fonctionne et j'ai bien accès aux différentes VM de l'ESXI via mon bridge. 

Toutefois en ces temps difficiles, nous recourons au télétravail. J'ai donc des clients qui se connecte via le logiciel ssl stormshield et ça fonctionne. Mes clients ont bien accès au réseau local dans mon bridge, mais je n'arrive pas à accéder aux VMs de mon esxi. 

Côté configuration VPN IPSEC, mon réseau SSL est bien présent dans un objet réseau local (de même que mon réseau interne).

Côté filtrage et NAT, j'ai une règle qui laisse passer tout mon traffic depuis mon réseau SSL vers mon remote (réseau coté esxi).

J'ai une route statique qui indique la passerelle à utilisé pour mon remote (réseau esxi).

La je coince un peu niveau idée.

Auriez vous une piste que je puisse explorer svp ?

Je vous...

Voir la suite
Non résolue

Superviser la qualité du lien sur stormshield

Posée par Dem Sy dans Administration

Bonjour,

Je cherche sur Stormshield une fonctionnalité qui permettrait de mettre des indicateurs (seuils) qui seront vérifiés en continu pour savoir si la lien satisfait aux critères.

Il s'agit d'une fonctionnalité identique à celle dite IP-SLA de Cisco ou Link-Monitoring de Fortigate. 

Exemple: Mettre:

- débit = 10 Mbits/s

- gigue = 10ms

- perte =  1%

Et être en mesure de contrôler en continu ces kpi pour qualifier le lien pour des besoins de supervision ou pour basculer le trafic.

Je suis vraiment dans la galère :-(

Merci à vous

 

Non résolue

Création de compte sur mystormshield

Posée par Fighter 777 dans Administration

Bonjour,

Est-il possible de créer un compte sans numéro de siret ?

 

Je compte acheter un pare-feu d'occasion pour mon usage personnel et je ne veux pas créer de compte utilisateur perso sur l'entreprise de mon compte pro :S


Merci d'avance.

Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Messages d'alerte